9 diciembre, 2013

Sistemas de gestión de la seguridad patrimonial

Si preguntamos a cada director de Seguridad con experiencia nos dirá que para acometer su trabajo diario tiene un manual infalible, “su librillo”. Por eso, precisamente porque es un “maestro” sin diminutivos

De las medidas de seguridad a la seguridad gestionada

image002

Y además, es seguro que para él será el mejor del mundo porque lo ha ido elaborando y corrigiendo en un proceso de años que le confieren fiabilidad y buenos resultados. Han crecido juntos el librillo y la experiencia del actor. Pero también desaparecerán juntos de la vida laboral. Cada procedimiento, manual, prontuario, etcétera, tiene poca vida tras el abandono de las responsabilidades de su autor.

Esto representa una pérdida inestimable para las empresas. Se llama conocimiento y es la manifestación misma del capital humano en las organizaciones. Consideramos el conocimiento como un conjunto de experiencias, valores, información, percepciones e ideas que crean una estructura mental para evaluar e incorporar nuevas experiencias, ideas e información (Cabañero Pisa). Las nuevas corrientes en materia organizativa, académicas o empresariales están dirigidas a lo que se conoce como la explicitación del conocimiento. Se trata de procedimientos que se ponen a disposición de los trabajadores para que, ante un hipotético abandono, no se lleven consigo su capital, el denominado conocimiento implícito. Algunas herramientas que sirven a este propósito son, por ejemplo, las intranets, los grupos de trabajo, la manualización, etc. Pero todos sabemos que estas herramientas no son suficientes para que el autor vuelque todo su expertise, su conocimiento acumulado, que muchas veces está únicamente en su cabeza y que se denomina, por ello, conocimiento tácito. Este conocimiento constituye en las empresas más modernas, que han adoptado el enfoque del conocimiento como motor de la supervivencia empresarial, la base de la innovación –si quienes innovan no conocieran lo ya innovado previamente, alguno terminaría descubriendo algo ya existente aunque desconocido para él– y del hecho diferencial en el ámbito competitivo.

image003

Entidades financieras: tres seguridades en una

Las entidades financieras habrán de enfrentarse a una nueva exigencia normativa( la ” Ley Pic”) que va a suponer un cambio importante de orientación de la gestión

No es la seguridad el ámbito más competitivo del mundo, pero no debemos olvidar que, como disciplina interna, debe incorporarse al sistema general de gestión empresarial y, muy importante, no constituirse como un obstáculo para el negocio, alineándose con éste. Hace tiempo que los sistemas de gestión vinieron a resolver en el ámbito de gestión de la calidad (no sólo del producto sino organizativa) esto de la ‘afloración’ del conocimiento. Los sistemas de gestión de la calidad basados en estrategias, procesos, recursos, estructura organizativa y documentos representan un conjunto que, por explicitar el conocimiento corporativo, tiene la ventaja, entre otras muchas, de que puede ser ejecutado por cualquiera a quien se transfiera este conocimiento.

Los sistemas de gestión internos están compuestos por las actividades que tienen como objetivo todos estos elementos mencionados (estrategias, procesos, recursos, estructura y documentos) para alcanzar objetivos corporativos concretados en la misión empresarial.

Buenas prácticas

Existen numerosas actividades o subsistemas dentro de una empresa que pueden ser afrontados mediante sistemas de gestión, que algunos organismos internacionales, entre los que destaca la ISO (Organización internacional de normalización), han ido publicando en los últimos años, mediante el establecimiento de sistemas de gestión estandarizados que sirven para afrontar determinadas actividades bajo un enfoque de gestión de la calidad, en este caso calidad organizativa. Estos sistemas tienen muchas ventajas para las empresas, ya que, además de resultar muy útiles en el logro de objetivos específicos, pueden ser implantados en cualquier compañía, sea ésta del sector que sea e independientemente, asimismo, de su tamaño.

Dentro de nuestro ámbito de la seguridad, algunas disciplinas como la seguridad de la información, por la importancia que ésta ha tomado en las empresas y por ser uno de los objetivos preferidos de la delincuencia internacional, ha requerido de una best practice que unificara las distintas metodologías de afrontamiento de sus riesgos, los riesgos para la información. Y nadie mejor que ISO, y su socio en España AENOR, para proveer de sistemas normalizados que respondan a una alta calidad de gestión. Efectivamente, la UNE ISO-IEC 27001 tiene ese objetivo, la implantación de Sistemas de Gestión de la Seguridad de la Información (SGSI), así como la UNE ISO-IEC 27002, que representa un referente de implantación de un código de buenas prácticas en esta misma disciplina de la seguridad.

Desgraciadamente, la mal denominada seguridad física, a la que hubo que ponerle ese apellido a pesar de que nació sin él, precisamente para diferenciarla de otras familias de la seguridad, y a la que nosotros nos hemos venido refiriendo como seguridad patrimonial, porque no sólo de elementos físicos se nutre en la actualidad, no encuentra un referente de prestigio internacional para poder enfocar la gestión bajo criterios sistémicos y normalizados, convirtiéndose apenas en un apéndice de las ya referidas UNE 27001 y UNE 27002 en la medida en que resulta recomendable para gestionar los riesgos de los depósitos físicos de la información.

Evolución acumulativa de la seguridad bancaria

Evolución acumulativa de la seguridad bancaria

Dentro de muy poco, las entidades financieras habrán de enfrentarse –porque se trata de uno de los sectores en los que la Ley de Protección de Infraestructuras Críticasentiende que existen servicios esenciales a la sociedad que pueden ser objeto de ataques– a una nueva exigencia normativa que va a suponer, también en los bancos, un cambio importante de orientación en la gestión. Del texto normativo se desprende inmediatamente que aquellas entidades que sean señaladas como operadores críticos deberán afrontar la gestión de sus riesgos de forma integral (un único enfoque convergente de familias de seguridad que venían actuando por separado). Integral es sinónimo de visión global, holística, de los problemas que pueden afectar a una entidad financiera, también de respuesta conjunta o coordinada a dichos problemas.

El nuevo director de Seguridad, cuya exigencia es ya obligatoria dentro de las entidades financieras por la normativa de Seguridad Privada, pasará a llamarse “Responsable de Seguridad y Enlace” y deberá hacerse cargo de una nueva seguridad en su empresa, una nueva seguridad que se añade a las dos que ya viene ejerciendo, la seguridad física, encargada por la seguridad privada, y la seguridad patrimonial, voluntaria por parte del empresario, que ha visto cómo resultaba imprescindible ampliar el campo de actividad obligatorio para hacer frente a nuevos riesgos que podían poner en entredicho los objetivos empresariales. La diferencia es que ahora el objetivo a proteger son los servicios esenciales que presta el banco, pero vistos desde la perspectiva de la sociedad que los recibe, convirtiéndose en ese momento en responsabilidad del Estado. El nuevo Responsable de Seguridad y Enlace pasa a ser un pieza esencial de la nueva seguridad estratégica del banco, pero sin abandonar sus otros dos roles de responsabilidad anteriores.

Esta última exigencia normativa nos habla de una seguridad organizativa, basada en políticas, procedimientos, compromisos, además de en medidas de seguridad y en personas. Por eso va a requerir inevitablemente de nuevas herramientas de gestión que sean capaces, además de dar respuesta al cumplimiento normativo, de proporcionar una respuesta eficaz desde la seguridad. El nuevo Responsable de Seguridad y Enlace va a necesitar herramientas organizativas de carácter sistémico que le permitan dar esta respuesta.

En el campo de la seguridad lógica, como se la llama la norma, lo tiene sencillo. Existen multitud de referentes de buena gestión en este ámbito. Ya hemos citado la norma UNE-ISO/IEC 27001 como referente mundial para la Gestión de la Seguridad de la Información. Sin embargo, la denominada por la norma como seguridad física no dispone de referentes internacionales de gestión capaces de colocar a dicha especialidad a la altura del necesario cumplimiento normativo.

Y este es el vacío que hemos querido rellenar con la próxima publicación de un libro en el que daremos a conocer una guía de buenas prácticas que permita a los Responsables de Seguridad y Enlace de los bancos crear, implantar y mantener un Sistema de Gestión de la Seguridad Patrimonial (SGSP) que les permita cumplir con la nueva normativa sobre Protección de Infraestructuras Críticas, además de cumplir con las tareas que la normativa de Seguridad Privada y el propio empresario ya le tienen encomendadas. Pero, sobre todo, para que con dicho sistema sea capaz de implantar una gestión eficaz de cada una de estas exigencias.

José Manuel García Diego

Técnico Superior PRL
Licenciado en Ciencias del Trabajo
Director de Seguridad